Topic: Recompensa 10 BTC por ayudar en robo de bitcoin: (Read 9240 times)

Se sabe algo del robo a @Varmetric (?)
Nos pegamos una "pedazo" de investigación para nada... ni tan sólo para estar algo actualizados en este hilo con lo que sucedió con esos Bitcoins robados...

Una lástima, la verdad.

Si sabes ingles, te recomiendo que busques el wiki de arch linux que posee un área de security muy interesante. Tengo un post en mi blog de como generar llaves de 8192 bytes (más grande de lo regular ) podrías utilizarlo si te parece conveniente. Yo en todas esas páginas utilizo un password de 30 cifras donde ni yo me las se, sino que la guardo en varios archivos.

aqui te dejo el link para llave: http://mywayonlinux.blogspot.com/2014/01/generate-8192-bytes-key-arch-linux.html

No hace falta que hagas nada especial. Creas el usuario y lo único que haces con él es usar la altcoin que sea. Normalmente el wallet de cada coin ya va por defecto protegido para que los otros usuarios no lo puedan leer. Si este no es el caso, se trata de un bug en la altcoin.



Sí pero es mucho más conveniente porque puedes trabajar con 30 alts sin a) instalar Linux 30 veces ni b) reiniciar para hacer algo con alguna alt. Y con la suficiente RAM, puedes tener todas las cadenas de bloques actualizadas al mismo tiempo.



Tienes algo bastante roto en tu sistema, que estropea tildes, eñes y demás. Revísalo .

 Y tienes que configurar el usuario de alguna forma especial? O simplement creando un usuario de escritorio (sin permisos para cambiar el sistema) va bien?  O usuario normal. Y por ultimo, crees que otorga el mismo nivel de seguridad que tener instalado otro Linux en el pc? 

 Gracias dserrano, y disculpen el offtopic. Aprovecho para hacer un up al hilo. Ojala haya exito en la búsqueda.

Exacto.

A mi este usuario me ha mandado un mensaje pidiendo algunos de los datos que publiqué en anteriores hilos sobre el robo de BTC.

De todas formas, por lo que veo todavía no he recibido su respuesta...

¿Por qué no la publicas?

Lo que te enviaron fue un troyano programado en JAVA llamado Unrecom. Está programado por un usuario llamado "adwind" que se hizo llamar Unrecom falseando ser una empresa que compró su troyano. Vive en México. Seguramente él no sea el culpable (o sí) de lo que te ha pasado. Ese troyano tiene plugins.

El plugin que usaron para sacarte tus bitcoins es este: http://unrecom.net/016.html

También tiene plugins para hacerte minar LTC en silencio...


¡Cuidado con los archivos JAR!


Si lo deseas más información, enviame un privado y hablamos.

Gracias por la clase. Si te fijas (en tu sistema, no en mi copia-pega), el wallet.dat tiene permisos 0600, con lo que solo el dueño puede leerlo.

Todos los directorios de esa lista tienen permiso de lectura y ejecución para todos los usuarios, la última r significa que todo el mundo puede leer el directorio, y la última x significa que todo el mundo puede entrar en él. Para que solo tuviera permiso el propietario del directorio tendría que ser:

drwx------

Tbm pasé por varias situaciones criticas...

Pero creo que tampoco hay que obsesionarse, creo que un liveCD ejecutando, por ejemplo, bitaddress.org y generando una cartera offline con BIP0038 y el resultado cifrado por PGP(obvio ) y archivado en un pen(o mas de uno), cifrado. Creo que con estos pasos simples ya nos da un buen grado de seguridad.

Oops... Se me olvidé de un par de cosas... Si hay una cantidad de bitcoins importante, digamos por encima de 10BTC, lo que yo haría es dividir esta cantidad de pekeñas cantidades de 5BTC y para cada una una paper wallet tal cual describo arriba! Imaginad que dentro de 5 años tienes que echar mano de algunos Bitcoins, solo tendrá q usar una o dos carteras las demás seguirán "intactas".

Esye fishing esta bastante rudo.. A mi me han llegado una cantidad increible de correos como los que te llegaron y apenas lei qie era un .jad los borre.. No jodas!

¿Has leído el hilo? xD
Llevamos 4 páginas intentando dar con el culpable  Salieron sospechosos pero de momento hay denuncia interpuesta.

Buena idea...

Lo siento mucho que tu has perdido tanto BTC. Alguien ha encontrado el ladron?
Puedes poner un topic para encontrar un cazador de recompensas en el foro . Alguien podria ayudar

Bueno, en Linux y bien configurado puede conseguir una impermeabilidad muy alta.

Pero en Windows y como no tengas mucha idea... es un riesgo. De hecho yo las monedas NXT que tengo están en una cartera en línea, no en mi ordenador, no me importa si pierdo lo de la minería, prefiero que ese dinero vaya al administrador de esa página y yo no arriesgarme con Java.

No sé cómo está el asunto en güindons pero yo en mi linux tengo java instalado y me siento super seguro. ¿Por qué? Pues porque no hay forma de que pueda hacerse con mis coins, no tiene permisos:


Separando las cosas en distintos usuarios uno tiene que obtener privilegios de tal usuario para trabajar; es incómodo pero la seguridad es lo que tiene. Sé que un .jar adjunto a un email no va a poder hacer nada, pues el mail no lo veo precisamente con el usuario btc. Como digo, no sé cómo va lo de trabajar con varios usuarios en güindons, ni qué garantías de seguridad ofrece.

(para los curiosos, bm = bitmessage, dw = darkwallet).



+1. Ni usuarios ni leches, esto sí que es definitivo .

Es cierto que deshabilitar Java en el navegador es una forma de protegerse, pero tal vez no sea el único agujero de seguridad que tenga. En general pocos expertos en seguridad te van a hablar bien de Java. A lo mejor para un ordenador de la universidad para hacer prácticas puede estar bien, pero para el ordenador donde vas a gastar dinero... cuidado. Si tenéis Java intentad extremar las otras medidas de seguridad, no entréis a páginas raras, no uséis programas "pirata", vigilad bien el cortafuegos...

Mi consejo es que no hagáis transacciones en monedas virtuales desde sistemas operativos que tengan Java, y si es posible, que tampoco tengan Flash, Acrobat Reader, complementos en el navegador...

Una opción útil es reiniciar el ordenador con un CD Live cuando queráis hacer un gasto.
Y con un CD live y el cable de conexión a Internet quitado cuando queráis hacer carteras de papel.


Ni tan siquiera eso: sólo se los fiaría al papel. Se dividen en muchas carteras para que además, sea difícil que al gastar una parte de ellos el resto se comprometan.

Dios que cantidad de btc, puff bueno si has tenido el olfato para entrar en btc a tiempo estoy seguro de que volverás a tener suerte  

Me estás llamando rarito? 
Son muchas las personas que han empezado con Java jeje

Si yo tuviera tal cantidad de BTC para empezar solamente utilizaría los wallet cifrados en linux con partición también cifrada.

Si evitamos windows el 98% de los ataques serán infructuosos.

Desinstalar el plugin de java para el navegador. Java en sí no es dañino, es un lenguaje de programación más. Alguna gente retorcida y rarita lo usa (por ejemplo, los de NXT ) pero eso no significa que tenerlo instalado sea peligroso.

Confirmo que es cierto, los 253 BTC los perdí por el hackeo de 50btc.com

Al final puedes permitir que el daño que te venga de la vida sea mayor del que recibes, si te obsesionas, si permites que te afecte el ánimo y el punto de vista objetivo de las cosas. Naturalmente me llevé mucho cabreo, pero solo permití que durase 1 día y a partir de ahí pasar página. Sin embargo si hice lo correcto, que es exponer este post por si suena la flauta, presentar denuncia en comisaría y seguir adelante.

De estas dos experiencias saco las siguientes conclusiones:
1. No tengas tus bitcoins en un tercero
2. No tengas tus bitcoins en un pc que uses habitualmente
3. Las contraseñas que no sean las de siempre y desde luego no dejar que los navegadores guarden los inicios de sesión
4. Ser un poco paranoico con la seguridad es necesario

Ojalá esto sirva para que los demás tengan conciencia que aunque tengas el monedero cifrado, te pueden robar si ese password es usado en otros sitios o si es un derivado de tus contraseñas de costumbre.

Y ya de parte, desinstalar el java 

Se nota que no conoces a este hombre , seguramente sea uno de los tipos mas preparados para aceptar cualquien perdida BTC-Oro , Fiat o lo que sea , yo mismo pude comprobar como a este hombre le robaron 250 BTC antes del boom de noviembre y te puedo asegurar que lo he visto bastante tranquilo , la serenidad es lo unico que nunca pierde.


un saludo

Hola Varmetric
Disulpa si parezco impertinente. Se que la esperanza es lo ultimo que se pierde, antes de ahogarse!
No conozco de que ni un 0.01% de los casos como el tuyo (y me lei todo el post y otros similares) se recupere algo!
Pero si sé que hay otros post donde dicen como recuperarse de una perdida grande, por ejemplo los
afectados por mtgox, habia un post donde decia, algo así como respira profundo, vuelve a empezar, se mas cauto, etc.

Saludos y recuerda que esto es como un duelo, debes empezar por aceptarlo, después hablarlo y comentarlo con todo el mundo y después
empezar a olvidar.

No, todavía no hay noticias de ningún tipo. Seguramente podemos darlo por perdido con total seguridad.

De esta experiencia, tomar en serio no tener las cookies de los sitios donde tengáis cosas importantes.

.

lamento decirte que esa ip no creo que sea del ladron
estas ip son del vpn hidemyass
212.166.90......... y debe haber miles usando esa ip

212.166.90.20

Si Varmetric, nos gustaría saber como anda el tema, si has tenido suerte o no.

Alguna novedad sobre la denúncia?

Se sabe alguna noticia positiva? o están en otras cosas...

imprescindible 

Si, pero aunque sea de tu propiedad ocurre esto www.eprivacidad.es/tribunal-supremo-direccion-ip-no-prueba-suficiente-para-imputar-delito-titular
Y el Tribunal Supremo dice: "la inferencia sea ilógica o tan abierta que en su seno quepa tal pluralidad de conclusiones alternativas que ninguna de ellas pueda darse por probada"

Este es el gran problema que veo, pero bueno es una opinion. Bitcoin plantea una serie de retos juridicos que son difíciles, por ejemplo si me cago en la madre de fulanito y lo pongo en la cadena de bloques, ya puede ordenar un tribunal que quiera que se quite eso de la cadena de bloque que eso perdurará ahí para siempre.

me desvio... i'm sorry  dserrano5

Mi ADSL es de telefónica (movistar). En cuanto a la ilegalidad de robar bitcoin aclaro que es como robar un coche. Los coches no son monedas de curso legal, aunque tengan un valor y algunos cambien coches por otros coches y otras cosas.

Sea lo que sea, si es una propiedad tuya (dinero, objetos, bienes digitales...) estás protegido legalmente y podrás reclamar lo sustraído.

Recuerdo que hace unos años ya, un usuario de un juego robó una espada virtual a otro jugador (no recuerdo bien si era un préstamo que el otro no quiso devolver). Tuvieron juicio y ganó el dueño original de la espada, a pesar de que el otro dijese que no era un bien tangible, que es solo digital, una parte del juego, etc... Pensad que hay juegos cuyo armamento y escudos valen mucha pasta y se compra y se vende también, se suelen ganar con muchas horas de juego y mucho talento!

Todo eso también está protegido. Afortunadamente heredamos el derecho romano y básicamente te da cobertura a toda propiedad que tengas legalmente y que tengas medios para demostrar que es tuyo.

@pinger,

¿Realmente tenías que citar todo el ladrillo solo para escribir una línea a continuación? Un poquito de porfavor, hombre…

¿Que proveedor tienes? Hispavista? Creo que Tiscali españa la vendieron hace tiempo.

Has leído ni que sea la página anterior? 
Ya lo ha comentado el OP que fue a denunciar el día después del robo

Y desde aquí hemos intentado ayudar 

30 btc es mucho dinero. ¿Has denunciado el robo? Que el btc no sea fiat no significa que no se pueda denunciar, lo digo porque muchas veces da la impresión de que por no ser de curso legal la peña puede robar y aquí no ha pasado nada.

Que cifrado tienes? WEP(OJALÁÁÁÁÁÁÁÁ NOOOOO), WPA? WPA2? La passwd del router SIEMPRE es bueno cambiarla... Hay otro/otros ordenadores que accedan a tu wifi(el ordenador de la mujer/padre/madre/hermano/hermana/hijo/etc)?

Hay programas que pueden acceder a tu ordenador desde un "reverse server"(es decir que el invasor no acceder al "troyano" sino que el troyano accede a su "amo", y pueden elegir algún puerto poco sospechoso, como el puerto 80(por ejemplo).

Es que me entro esta "preocupación", que alguien haya accedido a tu wifi y haya descubierto "eso de Bitcoins", ya sabes.. de dentro de una LAN... ufff.."Todo" es mas fácil! De todos los modos si al intentar acceder a Internet, te sale una ventana "del router" y te solicita q pongas la contraseña del router, NO LO HAGAS! es un ataque conocido como Evil Twin.

Bueno...Igual el "malo" este mas cerca de lo que creemos.

Un saludo!

Nikus, uso Windows 7, el ordenador lo uso solo yo y no he cambiado la password del router aunque solo es accesible por ip local. Acabo de ver el router y no he visto puertos abiertos ni nada que hayan tocado.

Varmetric,

Tres preguntas:

1) Que S.O. utilizas?
2) Ese ordenador solo lo utilizas tu?
3) Sueles cambiar la passwd de tu router muy a menudo?

pq pregunto? Simples, igual si tu OS es un windows puede ser(y estar) mas susceptible a un ataque. Si este ordenador lo utiliza alguien, quizás ese alguien si que haya sido victima de un ataque, y no tu. Y si tu router no esta debidamente configurado y protegido puede haber sido parte importante(o mismo fundamental) en ese ROBO(lamemos las cosas por su nombre).

Exacto, a lo mejor esa persona tiene el ordenador lleno de virus.

Hay mucha gente que hace clic a lo primero que le llega por Internet y luego pasa lo que pasa.

Y ya no es sólo hacer clic, es por ejemplo, no integrar en el navegador visor de PDFs de Adobe, no instalar Java... Si necesitáis ver un PDF, bajadlo, analizadlo en VirusTotal y luego abridlo. Y con Java, si lo necesitáis, en una máquina virtual.

Bien hecho!
Te dejé un privado hace unos días, contéstamelo y si necesitas cualquier cosa o link que pueda tener guardado, notifícamelo

El lunes siguiente al robo interpuse denuncia, a los dos días llamaron los comisarios a recabar más información y desde entonces estoy a la espera. Estas cosas por la prudencia debida, lleva tiempo. Es un desastre ir a por un ciudadano que es inocente, por eso andarán con mucho tiento.

En 40 minutos hice toda la exposición inicial.

Si la IP de tu router es dinámica es probable que sea la tuya de Madrid que haya cambiado y hoy veas una diferente... por eso te lo comentaba 

Has ido ya a denunciar?

Esperamos leer noticias por aquí de como va el tema eh? Sí, es probable que hayan recibido otras denuncias previamente pero obviamente sin tantas pistas y pruebas
Habrás estado un buen rato explicándolo todo jeje

Doy fe que no es mi IP y no tenía esa IP en el momento del ataque. Esta IP es la pista mas sólida que tengo pero no significa que fuese el atacante. Puede ser normal que el ordenador que tuviese esa IP estuviese infectado y remotamente hicieran ese juego, hay que dar la presunción de inocencia ante todo porque a todos nos puede pasar que nos cuelen un troyano y desde nuestro pc hagan putadas y luego se presenten un par de policías con cara de pocos amigos a por ti y tu no saber que pasa y porqué.

Sin embargo, tengo la sensación que esa IP es la más cercana al ladrón, es quizás la esperanza que tengo porque es IP española y puede suceder que el atacante entrase desde su pc por descuido no pensando que su IP se iba a registrar, pero es solo una esperanza.


Soy de Madrid y la IP no se parece a la mía en absoluto.

A ver si tengo noticias pronto!!

Por cierto, los comisarios SI sabían perfectamente que era esto del bitcoin, sabían hasta el precio de cotización. Deben seguirlo de cerca, quizás porque existan bastantes denuncias de robos de bitcoin.

No demos vueltas a temas de nuestra IP (Localhost) jaja es absurdo darle vueltas

Ahora mismo parece que la única opción de recuperar esos BTC pasaría porque la persona fuera española.
De todas formas, OP por favor verifica que no sea tu IP por casualidad... para salir de dudas 

Lo que quiero decir es que si invado una máquina(y no lo digo que yo lo hago o lo haría), la IP 127.0.0.1 no me sirve! Pq? Pq se refiere tanto a mi máquina como a la del atacado, como a cualquier otra! Pq es local y es mas, no hace falta ni tener red, deshabilitas el wlan y el eth y seguirás teniendo la 127.0.0.1! Otra cosa es que lo haya echo para distraerte y atacar a tu IP de red interna(192.168.x.x o 10.x.x.x, etc).

ya, se lanzo un ataque a su maquina. Por eso digo que con suerte lo mismo esa ip es del ladrón

La IP 127.0.0.1 SIEMPRE se refiere a la makina local(LOCALHOST)...

Si es de España lo tienes mucho mas facil, pero la verdad que me parece un poco cutre. Hacer lo del robo de wallet para luego ¡¡entrar con su pc!!
O ese jar es algo que hay rulando por ahí en foros y cualquiera se puede bajar o no me cuadra.

Bueno hace tiempo en un chat un "hacker" me dijo que le diera mi ip que me iba a no se ... le dije que era la 127.0.0.1 y poco después desaparecio jeejje asi que de todo hay

Antes de llamar al proveedor de Internet es importante saber que todos estos tests online para ver de dónde es una IP no son verdaderos al 100%

Ejemplificación:
- Posible localización 1: IBERCOM - Localización: Pais Vasco. --> Fuente: http://www.elhacker.net/geolocalizacion.html?host=212.166.90.20

- Posible localización 2: IBERCOM - Localización: Entre Madrid y Toledo. --> Fuente: http://es.geoipview.com/?q=212.166.90.20&x=-647&y=-283
Además podéis comprobar en http://www.internautas.org/w-iplocaliza.html y http://www.dnsqueries.com/es/localizar_lugar_direccion_ip.php que nos muestra la cercana a Madrid.
--

Para descartar cosas, tú eres de Madrid o la IP coincide con la tuya?
Además, me parece muy "bestia" que el tío/a entrara a todas las páginas web relacionadas con el mundo de BTC para ver si tenías algo pero hay una cosa bastante clara y es que el ataque ya te lo hicieron antes a través de algún mail con link de phishing. Pues sino no habrían intentado una 2ª vez mandarte otro para que te descargaras ese .jar
**

Pero hay algo que hemos pasado por alto y creo que no tiene que ver con que el ataque venga desde España.
Os cuento: tu dirección de correo electrónico para empezar era esa mexicana del trabajo (.mx) veo muy poco probable y demasiada casualidad que una persona española ataque un host de ESAS webs MEXICANAS para meter un archivo fraudulento para que pique un ESPAÑOL.

XD
Sinceramente es todo demasiado confuso porque en el correo la dirección es de Australia incluso y luego te manda a las de México.
--

La verdad es que se ha montado un lío considerable pero deberías comentar dos cosas:
Eres de Madrid o del Pais Vasco? Has comprobado que realmente no sea tu IP? Hay alguna página más donde hayas podido verificar el registro de IP's?

Hasta ahora te digo que si tienes la IP de la persona que entró por última vez a tu cuenta y realizó la transferencia de LTC ya lo tienes todo porque en caso de juicio o lo que sea, se podría demostrar que ESA persona ha accedido y al formalizar una denuncia la Policía supongo que se encargaría de contactar evidentemente con el ISP y exigir los datos de esa IP para proceder a encontrar el infractor. Y entonces el problema ya no sería encontrar el país desde donde se ha cometido todo. Simplemente si tenemos/tienen la localización exacta del infractor el tema estaría zanjado y se podría demostrar que ha habido robo y las pruebas estarían ahí

Salu2!  

No se si te sirve de algo pero he encontrado el numero de telefono del proveedor de internet llama le comentas el caso y aber que te dicen.

http://www.ip-adress.com/whois/212.166.90.20

Gracias chicos, seguimos avanzando.

Efectivamente en btc-e entraron en mi cuenta con mi login y password y se llevaron 283LTC minados y ahorrados desde noviembre del año pasado (calor, gastos de luz increíbles... y lo peor, es virtualmente imposible volver a minarlos dada la dificultad actual).

btce no suelta prenda en cuanto a que cuenta de cliente pertenece las transacciones de bitcoin enviadas a su plataforma, espero que los comisarios si tengan mas éxito en este sentido. Pensad que una persona particular no puede tener acceso de datos de nadie, por mucho que te hayan robado, pero un agente de la ley si puede tener acceso a esta información.

En el caso de btc-e hubo un login con mi cuenta para llevarse los LTC. Esta IP es de un proveedor de internet en San Sebastian. Esta IP coincide además con un intento de acceso a CEX.IO unas horas antes de entrar en btc-e. La IP en ambos accesos es la misma:212.166.90.20 y esta IP es la que se ha llevado los LTC confirmado por btc-e.

Para mi entender esta IP es la pista más sólida de todas y seguramente la que más cerca está del ladrón. Creo que los nervios y la prisa puede haberle hecho cometer algún error como entrar con su ordenador personal en estas cuentas y rápidamente llevarse los fondos, sin preocuparse tanto de usar métodos de ocultación, pero ojo, es solo una sensación personal.

El acceso a cex.io fue:
2014-06-14 13:24 GMT+02:00 CEX.IO Mailer <[email protected]>:
Username: Varmetric
IP: 212.166.90.20

Best regards,
CEX.IO

El acceso a btc-e fue:
2014-06-14 13:18 GMT+02:00 BTC-E <[email protected]>:
Successful authorization.

Login: Varmetric
IP: 212.166.90.20

Y el correo para retirar los fondos fue:
2014-06-14 18:05 GMT+02:00 BTC-E <[email protected]>:
Dear Varmetric,

We received a request to withdraw 283.00000000 LTC on purse LNvk842FDEyK7fDwNWw1qj6SqNwW7wJ6QW

To confirm the transaction, go to:
https://btc-e.com/withdraw_confirm/035d2955125fdae6657d7e4e66c3cbd4c738b404688a8f988ea866d8c910cdfcbb5113c2a4a1d0d2955309df2ca20bc5add0dcc59c78e5d47dd80a21fee00fa7

To cancel a transaction, go to:
https://btc-e.com/withdraw_confirm/035d2955125fdae6657d7e4e66c3cbd4c738b404688a8f988ea866d8c910cdfcbb5113c2a4a1d0d2955309df2ca20bc5add0dcc59c78e5d47dd80a21fee00fa7?cancel=1

IP: 212.166.90.20
Login: Varmetric

Regards,
Administration of BTC-E.COM

Al recibir este correo hice click en cancel y envié un ticket a btc-e para que no dieran curso al withdraw y me responden que lamentablemente...
2014-06-14 21:09 GMT+02:00 Support E <[email protected]>:
Hello!

We are sorry but your money was transferred out from BTC-E.
Withdrawal has been confirmed with your mail.
We can't refund and return your money.


Ticket Details
Ticket ID: AJV-598-80867
Department: Litecoin
Type: Issue
Status: In Progress
Priority: Normal

Helpdesk: https://support.btc-e.com/index.php?


Y hasta aquí lo que sabemos. Tengo la sensación de que el ladrón no se percató del registro de la IP al entrar en btc-e y en cex.io por lo que pudo haberlo hecho con su ordenador personal o a través de un pc cercano a él. Esta IP es la misma durante el transcurso de varias horas lo que me da buena sensación.

Veremos que pasa, si el ladrón está en España, ya puede correr, si está en Mexico, bye bye btc.

En cuanto a los sospechosos mexicanos me cuesta mucho pensar que un profesor de universidad se arriesgue a tirar su libertad a la borda. No digo que no sea sospechoso pero de momento le doy beneplácito y creo que es víctima del atacante. Hay que pensar que estas webs son de poca relevancia por lo que nadie se iba a obsesionar en proteger adecuadamente el site.

Veremos que sucede.

Una cosa yo siempre que entro en btc-e me envía un mail con la ip desde la que hice login, ¿te llego ese correo o es que ya tenias la session abierta? o te robo la cookie

Claro, todo son enlaces sacados de google / páginas web públicas en Internet
Sino, no habría tenido acceso 

Yo no veo el problema si la info es publica, porque es publica, no?

Tampoco creo yo que habrá problemas, es mas, creo que si supusiera algún tipo de problema los propios moderadores ya nos habrían dicho algo, pero... Cuando uno no conce la Ley a "nivel abogado" no sabe como pueden proceder los que se sientan "ofendidos", pq piensa una cosa, ¿Quien te dijo que estos tipos no "pupulan" por el foro? Sabes?

Pero nada...Creo que tienen ellos mas q temer que cualquiera de nosotros!

nikkus:

Sisi, sin ningún tipo de problema puedo retirarlos y pasárselos por privado si él lo desea.
De todas formas creo que por enlazar "páginas web" en el foro o enlaces no debería haber ningún problema para nadie de nosotros, no?

De hecho, sólo se han citado links y nombres con **** por eso ya lo puse: dejo aquí los datos pero no íntegros. Si alguien los requiere se puede acceder desde los enlaces que: están públicos en Internet  sino no lo pondría jaja

Pero vamos, que si hay que hacerlo, se hace sin ningún tipo de problema...
Y en todo caso, los que tienen un problema por no hacer todos los datos públicos en el registro del whois son ellos y el problema legal sería para ellos, pues en el whois de una de las dos páginas web no hay número de teléfono especificado por lo que esos datos podrían ser falsos y todo dominio debe estar correctamente registrado 

--
Pero es lo que te digo, en parte tienes razón y si contesta Varmetric en este hilo y necesita cualquier cosa por privado se la facilito y borro de aquí, pero creo que con ser enlaces no habría problema. Si algún mod quiere comentarlo también que lo haga 

franckuestein:

Piensa que te comento lo que comentaré desde la preocupación por los temas LEGALES y que nadie salga perjudicado por tratar de ayudar a un compañero, y me explico, toda esa información que has dado sin duda alguna esta MUY bien, enhorabuena!, pero CREO que los datos personales deberías pasarlos a Varmetric por PRIVADO, justamente por ser dados personales. Imaginad que, de repente y lo dudo mucho, se prueba q las personas q citas n tienen nada q ver, repito LO DUDO MUCHO, y te viene estos tíos pues "cabreados" por q sus datos han sido expuestos abiertamente vinculantes con un tema q son inocentes... Pillas por donde voy?

De todos los modos, y es una opinión mía, aquí se ha hecho un gran trabajo! Y como dije antes, creo que se puede sentar "precedentes" par ala investigación de ese tipo de delito!

Yo, la verdad, estoy con un GRAN proyecto del cual oiréis algo en los próximos días, por eso no tuve tiempo hábil para poner al tema. A ver si entre hoy y miércoles le hecho un vistazo mas, a ver si veo algo más que sea "interesante"..

A ver chicos, es lógico que nadie conseguirá esos 30BTC para apropiárselos robando otra vez.
Si yo u otros estamos aquí investigando y dedicando nuestro tiempo es para solidarizarnos con el compañero al que se los han robado e intentar arreglarlo, no para ponernos a pensar en esas bobadas xD
- Que la persona a quién ayudas o alguien ve tu esfuerzo y quiere hacer una donación? Pues bienvenida sea, pero no es prioritario. Evidentemente.

--

Ahora mismo supongo que si fuera cualquiera de los sospechosos de los links, todo parece indicar que se habría producido el robo desde México.
Bueno, durante esta tarde me he puesto un poco a investigar sobre Persona B.
Novedades? Pues que también impartió asignaturas y contenidos relacionados con la contabilidad y las finanzas.

Adjunto hoja docente:
http://ebookily.org/pdf/datos-generales-de-la-asignatura-99003695.html

**

Cada uno que piense lo que quiera, pero este hombre no es una persona "cualquiera" sabe programar y por el tipo de contenidos que ha llegado a impartir en su carrera es algo sospechoso... pero esto es complicado, ya lo sabéis.

Salu2!

EDIT: Dato curioso. Comentas que también entraron en tu cuenta de BTCe y se llevaron 200LTC aprox.
Es posible que alguna otra vez hayas abierto un correo que haya podido poner en peligro tus datos? es decir... que hayas accedido a alguna web phishing sin darte cuenta y hayan podido obtener esos datos de acceso.
Es curioso, sin duda y todo lo hizo bastante rápido... las transacciones es bastante imposible ya rastrearlas pero si BTCe te facilitara los accesos e IP's a tu cuenta tendrías ya una buena prueba > verificarías de donde es esa IP y si los datos coinciden tienes ya un sospechoso muy claro

Porque es robado y si te pillan, puedes tener problemas.

Es mejor 10 BTCs tuyos que 30 robados.
Es que no hay que juzgar nada, tu aportas pruebas y te lo tiene que devolver. Otra cosa es que no puedas meterle en la cárcel, pero lo tuyo, es tuyo.

Es más, podrías pasar a recogerlo en cuanto quieras... es tuyo.

Con esto termino mi discusión sobre este tema.

Bueno si nos hemos desviado del tema. Pero creo que tb es una parte importante, no podemos tener confianza en que la justicia va a conseguir resolver estos casos, la seguridad debe venir desde nosotros. A mi tb me han timado unas cuantas con paypal, etc...

Por mucho que consigamos las ip, las direcciones, etc.. si no puedes demostrarlo ante un juez no sirve para nada.

Espero que sigan apareciendo más hardware wallet que dificulten los robos y faciten esto a todo el mundo, sino no va a terminar de calar en el gran público.

No creo que vayas a tener suerte en poder recuperar tus btcs, y aunque así fuera. ¿Por qué alguien habría de darte el monto total para recibir 10 btc si puede quedarse todo el monto?

Ese dserrano5 ahí ejerciendo de mod  
--

Bueno, sigamos al tema. Antes empecemos poniendo una pequeña leyenda:

• Persona A: Carlos G - stedd
• Persona B: Alfonso F - masted

(A partir de ahora les nombramos como persona A y persona B si os parece)

Pues bien, estoy investigando el correo electrónico de Persona A (tienda zapatos) y he llegado a encontrar que dispone de más dominios. El primero parece ser que lo administra junto a un chico llamado Joel T******** (parece que es un fotógrafo) por lo que podría tener algún vínculo a la hora de buscar alguien para confeccionar sus catálogos... http://www.who.is/whois/joeltiscareno.com
- Hasta aquí todo normal y todo parece indicar que para nada tendrían que estar involucrados en este asunto pues sólo son 2 personas que parecen estar dedicadas a su negocio.

La Persona A también se ha registrado alguna vez en un boletín de algo llamado Direxpo (parece ser una feria de moda o algo similar en que hay exposiciones por lo que todo cuadra) http://www.direxpo.com/boletines/reportes_boletin/20610200910.txt
Además, Persona A dispone de otro dominio llamado "Gelaprot" en que venden unos ciertos productos que bueno, no tienen nada que ver con esto... nada relevante

De momento lo que hace sospechar es que esta persona si administra tanto su web de moda como la del fotógrafo algún conocimiento en informática debe tener y RECORDEMOS que todas las personas son de MX.
(Perdonad si en algún momento le doy mucho al tema, me meto como si los BTC robados fueran míos xD da mucha rabia lo que ha sucedido)

Podríamos decir que Persona A no tiene mucha pinta de ser sospechoso. Pero vamos con Persona B:

Persona B (Aficionado a la programación) --> Se confirma este dato y empezamos a mostrar pruebas.
De su propiedad sólo se tiene constancia la página masted.org PERO hay mucha información "jugosa" sobre esta persona. Pues su conocimiento en programación no es nulo podríamos decir.

Según algunos documentos que ha realizado él parece ser ex-estudiante o profesor de Universidad o algún Grado en su país, pues aquí hay un documento planificador de un curso en programación: http://afelipelc.files.wordpress.com/2011/04/logros-esperados.pdf

Entonces, si nos fijamos en su página de Github saltan las primeras cosas sospechosas
Para el que no lo sepa: qué es Github?
https://github.com/afelipelc

Bien, mirad sus "Popular repositories". Tiene conocimientos en ventas.
Cuál era el archivo malicioso que descargó Varmetric era un .jar - Formato java.

Además, tiene otro proyecto sospechoso y es este escrito en Ruby on rails: https://github.com/afelipelc/DemoRailsVentas Según comenta:

Otra hipótesis más que tenemos y es que podría haber estado en contacto la Persona A (tienda de zapatos) con él para realizar algún tipo de app o sistema para su tienda y de ahí que Persona B aprovechara el host o algo de Persona A para meter el "clavazo". Pero bueno, esta hipótesis es bastante especulativa.


Pero una cosa está clara y es que Persona B sabe perfectamente de que van los temas de programación. No digo nada y lo digo todo más o menos  
http://afelipelc.wordpress.com


Salu2, gente!

EDIT: Sí es profesor de Universidad: http://www.utim.edu.mx/index.php/2014-01-27-15-22-22
Parece ser que allí les llaman Ingenieros, Maestros, etc. dependiendo del nivel o tiempo que lleven en el cargo supongo pero según ese artículo: "dos profesores por asignatura del programa educativo de Tecnologías de la Información y Comunicación (TIC-SI) de la Universidad Tecnológica de Izúcar de Matamoros".

La discusión sobre maraña legal de robos, prescripciones, Goyas y demás podíamos ponerla en su propio hilo .

Pero eso es diferente, es como si robas un Goya y después de prescribir se encuentra, te lo pueden reclamar porque eso es patrimonio nacional. No tiene nada que ver son cosas diferentes, como vas a pedir que te devuelvan los billetes de un robo si no puedes juzgar ese robo, no puedes determinar que esa persona es el ladrón.

Hay muchas obras de arte que han sido robadas y evidentemente están ocultas, porque en el momento que salgan se las van a quitar las tengan quien las tengan.

No te meten en la cárcel, pero lo que no es tuyo, sigue sin ser tuyo.

Aquí dejo un ejemplo de un robo prescrito en el que hubo devolución de lo robado:
http://www.diariodeleon.es/m/noticias/provincia/robo-abadia-san-esteban-prescribe-no-habra-proceso-judicial_832458.html

Para nada, cuando un delito prescribe no es perseguible, es como si no hubiese ocurrido el hecho delitivo. En España tenemos muchos ejemplos en política.

Y luego, ¿Como demuestra Varmetric que le han robado? piensalo, no es tan fácil porque las siguientes transacciones, al menos las primeras, las podría haber hecho él. Es un tema muy dificil.

Lo mejor es coolwallet a tope porque el tema de perseguir los robos es muy dificil, ya es dificil con las tarjetas cuanto mas con bitcoin.

Cuando hablamos de cantidades grandes, decantarnos por la accesibilidad frente a la seguridad es un error grave. La gran mayoría de la gente no necesita mover todos los días dichas cantidades, así pues no debería ser tan traumático un reinicio de PC o disponer de un segundo equipo barato donde tengamos nuestra cartera desconectada. Espero que esto acabe resolviéndose de una manera sencilla mediante algún dispositivo secundario vía hardware.

Pero puedes seguir la pista por ahí, ponte en contacto con esas páginas web, tal vez conserven algún registro de actividades.Creo que los robos no prescriben. Quizás la pena de cárcel si, pero la devolución no prescribe, tienes que devolver lo que robas siempre.

Varmetric lamento tu perdida

Siento decirtelo pero sinceramente creo que es imposible que lleges a conseguir nada, en el mejor de los casos si consigues la identidad de esta persona en btc-e, realmente lo único que tienes es el último eslabón, pero eso no implica que él sea el propietario de la primera dirección, ¿como lo demuestras? Sin tener en cuenta que será un delito internacional... para cuando consigas algo seguramente ya habrá prescrito.

Y una pregunta ¿que cara te puso el comisario al explicarle el caso?

Bueno, tiene pinta de ser muy complicado dar con el ladrón. En cuanto a la seguridad del bitcoin, se sobre entiende que el problema es la custodia de estos bitcoins, no del protocolo en si. Bitcoin NO tiene ningún problema, pero nosotros si porque debemos elegir entre seguridad y accesibilidad.

Seguiremos investigando a ver pero doy por imposible encontrar al ladrón y los BTC.

De nada Varmetric! En eso estamos 
A simple vista una zapatería no tiene nada que ver con una página web de difusión tecnológica. Pero si te fijas, la última página web a la que se llega antes de descargar el archivo es http://www.masted.org/download/index.php por lo que esta página web con una temática tecnológica y registrada por un usuario según el whois que es aficionado a la tecnología y la programación, nada me dice que haya hablado con un amigo como "puente" desde su "zapatería" para redirigir a la web clave que sería la masted.

Que parecen páginas serias, etc.? El tema puede ser discutible:
1º- Si buscas el nombre de la empresa + twitter o cualquier perfil social = Ningún resultado que nos lleve a su perfil social.
Es muy complicado, MUY complicado hoy en día que un proyecto que tiene página web en Internet no disponga de un perfil en cualquier red social anunciando sus servicios, productos, promociones, etc...


Una vez dicho esto y moraleja que hago:
Una persona puede atracar un banco perfectamente entrajada.

Qué quiero decir con esto? Básicamente que el ladrón nunca irá con un cartel en la frente diciendo que va a robar. Tampoco lo hará con una forma de vestir que muestre o dé pistas de que es una persona que va a robar.

- Por lo tanto, para robar esos Bitcoins se pueden hacer muchas acciones enmascaradas, se puede hacer de todo.
Por hacer, te puedo decir que podría ser hasta el "zapatero" que ha metido un malware en la web tecnológica pero hasta mis conocimientos antes de poner que en esa página web se descargue un archivo, se debe tener acceso a los datos de esa página para subirlo por lo que yo CREO en mi caso que el de masted es muy sospechoso.

P.D: Un detalle más en el que me he fijado. La página web www.masted.org tiene un aspecto tipo "blog" por lo que no es sospechoso pero el link de descarga: http://www.masted.org/download/index.php parece ser que accede a index.php para descargar y eso me suena bastante raro. Debería tener la extensión del archivo o acceder al host de otra forma como sucede cuando descargas algo en amazon pero si la URL es /download/index.php todo me hace indicar que quiere descargar algo insertado en esa página php.

En resumen: algo raro sigo oliendo por aquí...
--


Comentarte que es imposible que los exchanges hagan "públicos" los movimientos de los BTC que se mueven por él.
Al menos en mi caso no me gustaría que dijeran que mis BTC están moviéndose de aquí para allá... además esa es la esencia del Bitcoin, es anónimo siempre y cuando no empieces a "cotillear" todas las transacciones, lol.

Ya te digo que puede haber pasado los Bitcoin en un BitcoinMixer y que mover Bitcoins se puede hacer de muchas formas y ahora mismo hay demasiadas direcciones sospechosas como para rastrearlas.

Además, en caso de que adquirieras algo físicamente con Bitcoins, el propietario de la tienda no tendría ninguna obligación de decirte que ha comprado el cliente con esos Bitcoin.
Del último párrafo en el que hablas de Interpol... recordemos que BTC es descentralizado. Para empezar Interpol no lo haría, ni mucho menos jaja

Y delegar ese cargo en una persona "importante" también es imposible. Nadie es importante aquí porque todos somos anónimos hasta que alguien diga lo contrario y hay muchas formas de hacerlo todo.
Ese chico o chica ahora mismo intercambia sus Bitcoin en un servicio p2p y se acabó.
--

Ya te digo que el tema direcciones es muy complicado... son números y letras aleatorias, no el nombre de alguien por lo que es todo muy complicado. Como lo ves?
Ya te digo, todo lo citado en ese mensaje es una utopía jeje y más en el mundo de BTC 

No. Todas las coins son iguales. Y en cualquier caso eso no importaría porque siempre se pueden mezclar y el resultado sería que todas acabarían estando coloreadas, con lo que volverían a ser iguales.



Se ha propuesto muchas veces pero, como te digo, no es viable.



Lo único importante en bitcoin es el protocolo y la decentralización, aquí la palabra de uno no vale más que la de los demás. Si se nombrara a una "autoridad" que dijera qué coins valen y no valen, sería trivial para los malos malosos corromper a esa autoridad y echar el sistema abajo.

Permiteme una simple aclaracion ya que puede inducir a error para quien nos pueda estar leyendo, Bitcoin no tiene ningún problema de seguridad, es donde atesoramos los bitcoins lo que puede llegar a ser vulnerable. Gracias.

La solución es sencilla, cool wallet, es mejor pasar algo mas de trabajo para moverlos y dormir tranquilo.

franckuestein buen estudio si señor. No soy de Mexico, soy Español y la cuenta es de una empresa inglesa.

Agradezco mucho toda la información y comentarios que estáis aportando, de hecho son de ayuda.

A mi entender los dominios desde donde se hacen los enlaces y las descargas del archivo no son del todo sospechosas, es normal que un atacante para enmascarar su origen use servidores o páginas web vulnerables para sus actos, por tanto, si es un pista pero no es sólida a no ser que estos servidores tengan un registro de acceso IP almacenado y poder buscar por ahí.

Aparentemente los dos dominios mexicanos parecen ser de empresas legales y normales. Sospecho más que han sido hackeados sin que ellos mismos lo sepan.

Estoy deacuerdo que hay que establecer "algo" que permita "colorear" los bitcoins robados, sería fantástico porque en seguida se podría parar la difusión de estas lucrativas actividades.

He estado pensando profundamente sobre la seguridad de los bitcoins, y es un problema complejo. Si lo cedes a un tercero duermes intranquilo, si lo haces tu mismo, estás expuesto a cosas así (virus, troyanos, etc) y con los keylogers te van pillando las posibles claves de acceso de tus sistemas. Al final puede ser cosa de tiempo que aunque tengas el monedero cifrado, monederos multi firma, etc si van cazando las claves puedes tener un problema en un futuro mas cercano o mas lejano.

Monederos fríos es una excelente manera pero no los puedes usar hasta que los hagas calientes y vuelta a empezar. Quizás tener un monedero en un iOS no sea una tontería porque es mucho mas complicado que te ataquen ahí. Android me da mucho miedo y Windows Phone desconozco si es tan seguro como iOS en cuanto a que terceras aplicaciones puedan acceder a datos de otras aplicaciones instaladas, y ya se sabe, Microsoft nos deleita de vez en cuando con agujeros de seguridad sorprendentes. (ojo, no hago publicidad de Apple eh?).

Una solución interesante es Armony que permite tener los monederos en un PC fuera de línea y armar ahí las transacciones. Es una solución muy buena, pero poco amigable para el usuario, pero creo que es muy seguro, lo suficiente para poder custodiar ahí cantidades importantes de bitcoin, que estén en tu control y muy seguros.

Así que chicos, extremen las precauciones porque estas cosas seguirán pasando cada vez más!!

En cuanto a la investigación he mandado mensajes a btc-e y no son demasiado colaboradores, por el momento, pero les sigo insistiendo de varias formas para que claudiquen. Al final si una parte fueron vendidos en BTCE debe ser en la cuenta de alguien y enviado el dinero a una cuenta bancaria de alguien y es ahí donde mas esfuerzo hay que hacer.

Lo fundamental es que se encuentre el rastro del dinero porque ahí es donde se identifican a las personas. Incluso si comprasen algo en BTC y es un objeto físico, se podría saber a donde se ha enviado esa mercancía y preguntar al receptor donde obtuvo esos BTC y de quién.

En todo caso, si hacemos un perfil del ladrón, vemos que es alguien con mucha impaciencia, no ha esperado a que el rastro se enfríe y ha movido los bitcoins de manera casi inmediata, bien para venderlos, o para comprar cosas. Esa impaciencia nos viene bien para poder encontrarlo y demuestra que sus métodos de ocultación son muy básicos por lo que si rascamos un poco dentro de esos servidores y en btce daríamos con el autor.

De momento sigo pensando en btce y creo que sería fantástico tener una página que pueda publicar y rastrear los BTC que roben a la gente y que los exchanges y grandes comercios puedan verificar con API si esos btc ingresados son legítimos.

Fácil no va a ser, haría falta que esa web fuese de una autoridad o alguien importante en bitcoin para que con reputación y métodos de verificación de que son realmente robados, pueda funcionar. Tengo la sensación de que al final, alguien lo va a hacer, incluso la propia interpol.

Correcto, estos detalles no hay que obviarlo y estamos juntos en esto porque hoy le pasa a uno pero mañana le pasa a otro.

Yo creo que el hecho de disponer de los whois de las personas propietarias de los dominios es un paso de gigante. Sobretodo por el hecho de que bajo mi humilde opinión pasan a ser principales sospechosos simplemente por haber registrado esos dominios. Y en caso de que esto llegara a la vía judicial (veo difícil reclamarlo porque no se pondrían a investigar) es obvio que en la empresa registradora de los dominios, etc. quedan registros de direcciones IP por lo que se confirmaría que la Persona 1 y pa Persona 2 realmente son ellos y viven en Dirección 1 y Dirección 2.

Otra cosa no creo que debamos "olvidar" delos mas de 14BTC que van a acabar en 1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ.

Desde allí hay varias entradas y salidas que pueden al final ayudar a comprobar la identidad del "meliante".

Creo que entre todos podríamos sentar las "bases" de como proceder en casos de ese tipo.Que os parece?

No es un mensaje tocho, al contrario, es constructivo y útil.

Buenas Varmetric! Siento mucho lo sucedido tío y vamos a intentar ayudar un poco...
(Creo que he visto incidencias similares en otros foros así que voy a meterme a investigar porque la verdad son de muy mal gusto este tipo de "robos" y quiero ayudar)

Antes hay que dejar una cosa clara sobre el tema IP's en las transacciones:


Lo primero y que supongo que muchos habréis hecho es investigar en la blockchain como bien dices: https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht
Vamos a intentar aprovechar este comentario para desgranar un todas las cosas e ir dejándolo un poco más visual:

(Esta imagen se correspondería al "transaction tree" de todo el movimiento que ha habido en esa cartera.
1º: Los 30 BTC entraron a las 13:01 del día 14. En cuestión de 2 horas hizo 2 transacciones (out)

• 14.9999BTC
• 15.0001BTC

La teoría de que han ido a BTC-e me cuesta de creer, pues habría muchos más inputs en una dirección de BTC-e tengo entendido. De todas formas, si fuera correcto y esta dirección (https://blockchain.info/address/16R14EH4v8A9GPXkAAP8gcMFBA8oxA8nbY) es de un scammer que lo manda a BTC-e estafando a la gente, esta es su cuenta en localbitcoins: https://localbitcoins.com/p/FX2btc/ Pese a todo, su última conexión es de hace 1 mes y 1 semana por lo que podria ser este usuario pero ya sabemos que con tus BTC no habría pasado nunca por Localbitcoins a comercializarlos, esta vez todo directo a BTC-e o su cartera.

Ahora quizá estaría bien que mandaras un mensaje a BTC-e preguntando por estas transacciones.
Evidentemente leyendo su política de privacidad no podrían facilitarte datos de ningún usuario o transacción efectuada en su exchange por lo que yo empezaría con una carta muy refinada preguntando por favor si tienen conocimiento de que esa transacción ha sido registrada en su exchange (explicándoles tu caso y todo lo que ha sucedido del robo) a ellos también les interesa luchar contra actividades fraudulentas en su exchange. A partir de ahí si fuera correcto y accedieran a contactar contigo es muy probable que te manden una respuesta afirmando que quieren colaborar contigo después de ver todas las pruebas.

Lo que sí está claro es que los movimientos del tío no eran casuales y yo no descartaría que los haya pasado por un BitcoinMixer para no dejar rastro y aquí si que termina la investigación porque habría un punto en el que las transacciones serían demasiado "cruzadas" y confusas para deliberar.

--

A partir de aquí analicemos un poco los correos electrónicos, nos citas que van a la URL: http://www.steddblue.com/index.php

Comprobando en VirusTotal parece que no es maliciosa pero si te fijas en el analizador Wepawet podria ser una "Suspicious site" https://www.virustotal.com/es/url/35d283ed1ae119520bddb672728dab56339f72ab8e360b6e9d7b0a2a6a901201/analysis/1403276421/

· Por lo tanto he vuelto a analizarla mediante otro sistema: http://wepawet.iseclab.org/view.php?hash=df5fac0587ea7bf42647fafd74d00e6f&t=1403276514&type=js y parece haber 1 pequeño problema benigno (es decir, sin gravedad alguna que probablemente sea problema de la web pero que para nada debería contener virus ni nada por el estilo)
Esto no nos delibera nada importante pero OJO! he hecho un whois y se me cita la siguiente información del propietario del dominio http://www.steddblue.com:
Por lo tanto, con estos datos ya tienes el propietario del dominio que enlaza la página web http://www.bitpays.com/wallet-downloads-rFinieshed.seam=

Ahora, analicemos el http://www.masted.org/download/index.php desde donde se descarga el archivo:
P.D: Buscando el nombre de este chico damos a una posible página de about.me de un Mexicano con su mismo nombre. Docente de Universidad y al que por su perfil de Twitter una de sus aficiones es programar (no pongo link por si no es probable, en caso de necesidad privado - o si se puede poner notificadlo y lo paso sin ningún tipo de problema.

Entonces... como veis tenemos dos sospechosos más ya, propietarios de las páginas que te han forzado la descarga del archivo con el que teóricamente se te robaron los BTC.


Un saludo compañero, a ver si te sirve de ayuda, nos comentas y a seguir con la investigación. Esta gente no merece nada y mucho menos quedarse con BTC de la manera que lo han hecho porque todo viene desde un simple email pero mira como termina.
Disculpad por el "tocho" y si en algún momento me expreso mal, pero he empezado a analizarlo todo desde el principio y hasta que no he llegado al tema de los dominios y las personas "teóricamente" propietarias de lo que te han mandado no he parado. Es difícil obtener datos de alguien a partir de una dirección de BTC pero sí desde el sitio donde han querido atacarte  

Veo que eres de México no? Lo digo por el tema de tu dirección de correo electrónico... entonces las cosas cuadran. Quizá un profesor de Universidad? Alguien que te conoce por alguna cosa de Internet?

No sé... se puede especular mucho pero sin duda creo que son buenos detalles.
Salu2!  

Es que en BTC-E está la clave, ellos son los que podrían permitir continuar el hilo...


No estaría de más que creasen un programa de Bitcoin que registrase IPs y transacciones, si lo usase mucha gente podríamos seguir el rastro de algunos ladrones.

Tus Bitcoins salen de tu btc address:


14.9998 para aqui:
https://blockchain.info/es/tx/21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954

Y esta es la que MUY probablemente va a parar en BTC-E como dijo el compañero antes! Pero

15BTC para aquí:

https://blockchain.info/es/tx/869d6c9ee00609cb3d21e21c44490449b115c72000ed1fe04aa20f1e60847677
(1JzA51EzejpSmH47jpVTyENeHb4KdkLa8b)
Y de ahí los 15 BTC se dividen, y 10BTC van para  aquí:

https://blockchain.info/es/tx/aa9b104ef9889f073d876fd8208b49813b2f3d20dddc98ec0f1f1b6d38c8e339
(1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ)

Y de esa dirección ya hay gente q "no se fía", o sea, ya hay sospechas...

Ademas esta entre las 100 direcciones con mas transacciones!
http://bitinfocharts.com/top-100-busiest_by_transactions-bitcoin-addresses.html

Y 4,9999BTC para aquí:
1Fa6yc2g3MmCSRf2eRZn4pWbuKmwosEXbb

Pero de ahí parece q las grandes transacciones convergen a: 1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ

Así que SUPONGO que esta dirección es la cartera del "culpable" por la sustracción de tus Bitcoins, o quizás de algún otro servicio que esta persona utilice.

Este tema me toca muy de cerca, pq también fue victima de una situación similar. por lo tanto seguiré "husmeando" por ahí a ver que logro ver.

Un saludo!
P.D.: Comentale a los de BTC-E a ver si se hizo alguna retirada de dinero a esta cuenta que te dije antes.

Las transacciones ladronas son estas:

https://blockchain.info/tx/869d6c9ee00609cb3d21e21c44490449b115c72000ed1fe04aa20f1e60847677
https://blockchain.info/tx/21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954

Las posteriores ya son realizadas por los servicios web donde se depositó el dinero.

Sería fantástico poder ver de dónde se retransmitieron esas transacciones, aunque lo mismo son enviadas desde TOR.

Este hilo quizás esté relacionado:
https://bitcointalksearch.org/topic/m.7377515

Hombre , amigo Hector me parece increible que te hayan robado de nuevo , sera casi imposible cojer al ladron , espero noticias tuyas campeon.

Y animos recuerda que los ultimos seran los que lo consigan.

He rastreado la IP que has citado 122.201.94.179 y nos lleva a Sydney Australia , complicado de pillar pero seguire buscando .

http://www.elhacker.net/geolocalizacion.html?host=122.201.94.179

Dirección IP 122.201.94.179
ASN Info

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
9512    | 122.201.94.179   | 122.201.80.0/20     | AU | apnic    | 2006-10-27 | NETLOGISTICS-AU-AP Net Logistics Pty. Ltd.,AU
DNS 122.201.94.179
Pais Australia
Código de área New South Wales
Región Australia
Ciudad Sydney
Código ZIP -
Zona Horaria +10:
Ips vinculadas 122.201.94.179
 
Whois IP RFC-3912 % Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% APNIC resource: whois.apnic.net

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '122.201.64.0 - 122.201.127.255'

inetnum: 122.201.64.0 - 122.201.127.255
netname: NETLOGISTICS
descr: Net Logistics Pty. Ltd.
descr: Web Hosting and Web Application Provider
descr: Sydney, NSW, Australia
country: AU
admin-c: NLN3-AP
tech-c: NLN3-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-AU-NETLOGISTICS
remarks: This IP space is statically assigned
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
mnt-irt: IRT-NETLOGISTICS-AU
changed: [email protected] 20080926
changed: [email protected] 20100421
source: APNIC

irt: IRT-NETLOGISTICS-AU
address: P.O Box 514
address: Broadway NSW 2007
address: AUSTRALIA
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: KR81-AP
tech-c: KR81-AP
auth: # Filtered
mnt-by: MAINT-AU-NETLOGISTICS
changed: [email protected] 20111123
source: APNIC

role: Net Logistics NOC
address: Suite 85, 330 Wattle St
address: Ultimo, NSW, 2007
country: AU
phone: +61-2-90433968
e-mail: [email protected]
admin-c: KR81-AP
tech-c: KR81-AP
nic-hdl: NLN3-AP
mnt-by: MAINT-AU-NETLOGISTICS
changed: [email protected] 20100420
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0

He encontrado mas informacion relativa a la estafa .

http://bitcoin-scam.blogspot.com.es/2013/11/bitcoin-team-scam.html

Os doy mas detalles, la cabecera del correo es:
Delivered-To: [email protected]
Received: by 10.216.209.198 with SMTP id s48csp795534weo;
        Sat, 14 Jun 2014 03:08:57 -0700 (PDT)
X-Received: by 10.66.248.228 with SMTP id yp4mr9875568pac.94.1402740536291;
        Sat, 14 Jun 2014 03:08:56 -0700 (PDT)
Return-Path: <[email protected]>
Received: from host.ozanimart.com ([122.201.94.179])
        by mx.google.com with ESMTPS id nx10si4845019pbb.197.2014.06.14.03.08.55
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Sat, 14 Jun 2014 03:08:56 -0700 (PDT)
Received-SPF: none (google.com: [email protected] does not designate permitted sender hosts) client-ip=122.201.94.179;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: [email protected] does not designate permitted sender hosts) [email protected]
Received: from nobody by host.ozanimart.com with local (Exim 4.77)
   (envelope-from <[email protected]>)
   id 1Wvktt-0008LS-5m
   for [email protected]; Sat, 14 Jun 2014 20:09:29 +1000
Date: Sat, 14 Jun 2014 20:09:29 +1000
To: [email protected]
From: noreplay <[email protected]>
Subject: welcome to wallet
Message-ID: <[email protected]>
X-Priority: 3
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="us-ascii"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.ozanimart.com
X-AntiAbuse: Original Domain - varmetric.co.uk
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - host.ozanimart.com


http://www.Bitpays.com/wallet-downloads-rFinieshed.seam=
?id=3Ddf5472208ef597f4f5762r81c34a4e7886a7bab5588752dbdewe908=
e11fe605700c8592ad5302
Que en realidad va a:
http://www.steddblue.com/index.php
Domain Name: STEDDBLUE.COM

Hace una redirección a www.masted.org/download/index.php que es donde ya descarga un archivo llamado BitPay-wallet-4ae23cea-062b-4609-8232-496b85fc5177.rar desde ese servidor.

Intuyo que estos servidores han sido atacados previamente y puestos ahí el invento.

Dentro de este archivo.rar hay un archivo .jar que ejecuta java y descarga de internet los siguientes archivos:
JNativeHook_9150172923394402403.dll
temporalito4067113274008559351okey.jar
temporalito4591708588922498270Explorer.exe

OJO, no abráis el .jad que os la lia!

Lo suyo sería ir a BTC-e y indicar la transacción donde iban los BTCs robados.

Si estos no son mala gente deberían como mínimo bloquear esa cuenta de forma temporal.
¿Puedes darnos todos los detalles posibles (del remitente) de ese correo?

Incluso si puedes, di de dónde se bajó el JAD y el EXE, a ver si es posible hacer algo.

PD1: Jamás uséis Java en el ordenador, si a caso lo necesitáis, emulad un ordenador virtual. A mi se me ha colado también mucha mierda por Java.
PD2: La contraseña de Bitcoin, siempre diferente a las demás, si hace falta la apuntáis en papel.
Es que de 30 BTC una buena idea es tener al menos 20 en papel como ahorros a largo plazo y los 10 restantes repartidos en carteras desconectadas (la mayor parte), carteras locales y carteras en línea / nube (la menor parte). El papel por supuesto guardado con cuidado y varias copias.

Lo primero decir, Varmetric, que lamento tu pérdida, y que ojalá tengas algún éxito en la búsqueda de los criminales, aunque no va a ser sencillo puesto que Bitcoin no favorece esto precisamente.

Mi recomendación para ese tipo de cantidades ya, es necesario utilizar algún sistema de cartera desconectada. Armory y Electrum, por ejemplo, permiten realizar esto. Éste método puede utilizarse instalando el sistema operativo en un LiveUSB que sea necesario arrancar (configurado sin conexión a la red o desconectando de la red el PC donde se ejecute) para firmar el pago de cualquier transacción de dicho monedero. Si no nos gusta la idea de tener que reiniciar nuestro ordenador de uso corriente, podemos adquirir una Raspberry Pi que es muy barata y, que siempre sin conexión (o reiniciándola con una distro que contenga nuestra cartera) actúe como dispositivo de almacenamiento en frío. También es viable el uso de carteras de papel, con el saldo repartido entre diferentes direcciones, de modo que cuando queramos usar cierta cantidad no tengamos que exponer el total.

Por lo que se viene observando, los sistemas de almacenamiento en caliente entrañan riesgos importantes frente a las cambiantes estrategias de acceso a éstas y riesgos de seguridad nuevos que experimentan nuestros sistemas operativos. Mi recomendación para cantidades importantes es usar Armory o Electrum en un sistema desconectado.

Bueno, también decirte como consejo, aunque ya tarde, usar two-factor-authentication en btc-e y para el escritorio usar armory, sobre todo si tienes buenas cantidades de BTC, yo tengo a armory con la contraseña que requiere 16MB y lleva aproximadamente 0,77seg realizar cada try por fuerza bruta en mi ordenador, asi que tendrian para unos cuantos milenios, tambien usar keepas con http://keepass.info/help/v2/autotype_obfuscation.html  y usar una master key con unos cuantos de cientos de miles de pases sha256

Seré un poco paranoico, pero de momento no me paso nada, además de cualquier adjunto de correo y similares abrirlo primero en una máquina virtual aislada para que no te de sustos como este.
"Se que al final todo mi modo paranoico se ira a la mierda por el hecho de usar windows y no linux pero bueno... ya llorare más adelante"

¿Qué calidad tenía la contraseña? ¿Crees que pudieron haber atacado el fichero por fuerza bruta? ¿O habrá tenido que ser con un keylogger o similar?

Dicho de otro modo. Si metes en google (o en duck duck go) la contraseña ¿aparece? ¿Es una palabra que puede salir en algún diccionario especializado? ¿O era de buena calidad? (con números, mayúsculas, minúsculas y signos especiales)

No hay de qué, solo seguí un poco las transacciones y googlee las direcciones, yo no tengo mucho tiempo para dedicarme a ello, pero antes de dar los datos a comisaria intenta asegurarte de que es como te he dicho "no sea que me este confundiendo, que lo hice un poco rápido"
Mucha suerte y ya nos dirás  

Hola lopalcar!

Muchas gracias por tu investigación. Voy a abrir un ticket en btc-e porque soy buen cliente de ellos, además entraron en mi cuenta de btc-e y se llevaron los 283 LTC.

Tengo interpuesta una denuncia en comisaría y estoy a la espera de que me llamen los de delitos telemáticos y aportaré este dato adicional. Si btc-e no me da el dato, seguro que al comisario si!

Los 10 BTC mejores invertidos serán para premiar a los que me estáis ayudando a localizar a este sujeto.

Y OJO, cuidado con los correos que lo están sofisticando mucho. En mi caso al abrir el enlace descarga un rar y dentro de él hay una carpeta con un jad (ejecutable de java) y que el winrar abrió de manera automática. Aparentemente no hace nada pero se lleva los wallet, los archivos caché del navegador y puede que monitorice el pc y capture teclas o similar porque dar con la contraseña del wallet es interesante saber como lo ha hecho (y entrar en cex.io, btc-e...)

Muy divertido, si señor. Cuando tenga más info lo voy publicando.

En cuanto a mi cuenta de bitcointalk, tenía una pero hace mucho que no entraba y supongo que borraron la cuenta.

Gracias a todos!!

Mira, acabo de mirar a donde fueron tus bitcoins y por lo visto las han mando a BTC-e, al menos la mitad de ellas, vi que acaban junto con otras en esta direccion: https://blockchain.info/address/16R14EH4v8A9GPXkAAP8gcMFBA8oxA8nbY que dicen aquí que es la cuenta de BTC-e https://localbitcoins.com/forums/#!/general-discussion#16r14eh4v8a9gpxkaap8gcmfba8
Las otras, se van dividiendo a otras direcciones pero me da mi que tb van a un exchange, puedes tratar de seguir y preguntar a BTC-e por esta transaccion que tiene pinta de ser la que va de tu cuenta a la del ladron 21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954 y luego ya automaticamente van a la cartera grande de btc-e

Muy chungo lo veo pero bueno jeje quien sabe, quizá los rusos de btc-e tengan el día amable y te hagan caso (o quizá todo lo que te dije está mal xk nunca me puse a hacer estas cosas  )
Tu prueba a ver, pero por lo que he visto no eres el único que sus bitcoins acaban en esa cuenta

Vaya palo, lo siento mucho. Espero que se pueda hacer algo, aunque supongo que será muy difícil :-(

No se si he entendido bien el ataque. Hiciste clic en un enlace que venía en un correo y luego.... ¿descomprimiste el .rar, ejecutaste el .jad e hiciste clic sobre el .exe? ¿O solo hiciste clic en el enlace y todo lo demás fue automático?

Primero post en btctalk, te han robado tambien el account?

Estimados, el sábado 14 fui victima de un robo de 30 bitcoins:
https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht

El atacante utilizó un correo electrónico emulando bitpay con un enlace de backup de monedero. Como soy cliente de bitpay no sospeché nada y descargué el archivo, un .rar que ejecutó a su vez un .jad y descargó un .exe de internet que permitió al atacante tener control del pc. Debió llevarse el wallet.dat cifrado de bitcoin-qt y de algun modo accedió al caché del navegador y pudo deducir la contraseña que suelo usar. Abrió el monedero e hizo el robo.

Además entró en mi cuenta de btc-e y se llevó otros 283 LTC atesorados desde hace casi un año.

Es importante intentar que estas cosas tengan su castigo para disuadir futuros robos y que sepan que esto es rastreable y al final, alguien puede encontrarlo.

Quien logre identificar al ladrón y que su ayuda contribuya a recuperar los 30 BTC será recompensado!

Cualquier pregunta que tengáis iré respondiendo :-)

Muchas gracias!!